De Spaanse tak van autofabrikant Hydundai heeft van de Spaanse privacytoezichthouder AEPD een boete van 2 miljoen euro gekregen wegens een datalek dat het gevolg was van een niet geïnstalleerde beveiligingsupdate. Begin 2023 maakt een aanvaller misbruik van een niet nader genoemde kwetsbaarheid in een server van Hydundai en maakte vervolgens de onversleutelde gegevens van meer dan een miljoen klanten en potentiële klanten in Spanje buit. De gegevens stonden in een database gebruikt voor marketing en statistische doeleinden.
De bij de aanval buitgemaakte gegevens bestonden uit namen, geboortedata, telefoonnummers, e-mailadressen, adresgegevens, klantnummers en voertuig-identificatienummers. De aanval en het datalek kwamen pas eind februari 2023 aan het licht, toen de aanvallers met Hyundai contact opnamen. Daarop waarschuwde de autofabrikant de Spaanse privacytoezichthouder. In april 2023 werden slachtoffers van het datalek door Hyundai ingelicht.
De AEPD deed onderzoek naar het datalek en ontdekte dat de aanvallers misbruik hadden gemaakt van een bekende kwetsbaarheid waar op het moment van de aanval ook beveiligingsupdates voor beschikbaar waren. Hyundai had echter nagelaten de patch te installeren. Om welke serversoftware het precies gaat is niet bekendgemaakt.
Tevens hekelde de AEPD ook het niet versleutelen van persoonlijke gegevens en het niet uitvoeren van een risicoanalyse. Pas na het datalek kwam Hyundai met een risicoanalyse, terwijl het dat volgens de toezichthouder had moeten doen voordat het de persoonlijke gegevens van klanten verwerkte. De autofabrikant was dan ook in overtreding van de AVG, oordeelt de AEPD.
De toezichthouder besloot de overtreding te bestraffen met een boete van 2 miljoen euro. Spaanse wetgeving biedt bedrijven en organisaties de mogelijkheid om korting te krijgen als men verantwoordelijkheid neemt en de voorgestelde boete betaalt. Elke optie verlaagt de boete met twintig procent. Hyundai besloot de boete vrijwillig te betalen, waardoor het uiteindelijke boetebedrag op 1,6 miljoen euro uitkwam (pdf).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Medior Information Security Officer
Als Medior Information Security Officer in Rotterdam versterk je onze digitale veiligheid in een organisatie die volop in cloudtransitie is. Je werkt met moderne cloud technologie én uitdagende legacy. Krijg jij energie van échte impact? Dan is dit jouw plek.
Senior Information Security Officer
Stap in de rol van Senior Information Security Officer in Rotterdam waar je iedere dag zichtbaar impact maakt op hoe we onze organisatie beschermen. Klaar om verder te lezen en te ontdekken waar jij het verschil kunt maken?
